Este informe argumenta que el panorama de ciberamenazas ha experimentado una transformación fundamental desde principios de 2022. La invasión rusa de Ucrania catalizó un cambio decisivo en las motivaciones de los atacantes, pasando de un ciberdelito predominantemente impulsado por la monetización a una ciberguerra centrada en la disrupción, el sabotaje y la proyección de poder geopolítico. Simultáneamente, el auge de la Inteligencia Artificial (IA) generativa ha actuado como un acelerador tecnológico, democratizando el acceso a herramientas de ataque sofisticadas y amplificando la eficacia de las operaciones de ingeniería social.

La confluencia de estos dos vectores —motivación geopolítica y capacidad amplificada por IA— ha colocado a las infraestructuras críticas (Energía, Producción, Transporte, Logística y Cadenas de Suministro) en el epicentro de este nuevo paradigma. Ya no son daños colaterales, sino objetivos primarios para desestabilizar economías y sociedades.

Los principales hallazgos de este análisis son los siguientes:

El imperativo estratégico que se deriva de estos hallazgos es claro: la resiliencia de las infraestructuras críticas ya no puede basarse únicamente en el cumplimiento de normativas. Requiere una defensa proactiva e informada sobre amenazas, la adopción de arquitecturas de Confianza Cero (Zero Trust), una gestión de riesgos de la cadena de suministro rigurosa y la integración de herramientas de ciberdefensa impulsadas por IA para contrarrestar las amenazas potenciadas por la misma tecnología.

Para comprender la magnitud y la naturaleza del cambio en el panorama de ciberamenazas, es imperativo establecer una línea base clara del "estado normal" que prevalecía en el período inmediatamente anterior a 2022. Este entorno, aunque ya dinámico y peligroso, estaba gobernado por un conjunto de motivaciones, actores y tácticas fundamentalmente diferentes a los que dominan en la actualidad. La era de 2021 fue, en gran medida, la cúspide del ciberdelito como una industria con fines de lucro, una era en la que las vulnerabilidades de las infraestructuras críticas eran conocidas pero no explotadas sistemáticamente con fines de destrucción geopolítica.

El período 2020-2021 puede definirse como la edad de oro del modelo de negocio de Ransomware como Servicio (RaaS). Este modelo industrializó el ciberdelito, permitiendo que desarrolladores de malware sofisticado lo "alquilaran" a afiliados que llevaban a cabo los ataques, compartiendo luego los beneficios. El ecosistema estaba dominado por sindicatos criminales altamente organizados que operaban con la eficiencia y la estructura de corporaciones legítimas. Grupos como REvil (también conocido como Sodinokibi) y Conti se convirtieron en nombres notorios, no por su alineación ideológica, sino por su implacable enfoque en la maximización de beneficios.1

La motivación principal, casi exclusiva, era la monetización.2 Los ataques se dirigían de manera oportunista a organizaciones de cualquier sector que se percibieran como capaces de pagar rescates sustanciales. Los ataques de alto perfil de esta era, como el que afectó al proveedor de carne JBS Foods, que pagó un rescate de 11 millones de dólares, o a Quanta Computer, un proveedor clave de Apple, ilustran perfectamente este enfoque.1 El objetivo no era la destrucción de la capacidad operativa de JBS a largo plazo ni el sabotaje de la cadena de suministro de Apple, sino la interrupción temporal y el robo de datos como palanca para forzar un pago. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) identificó inequívocamente el ransomware como la principal amenaza durante este período, con las criptomonedas sirviendo como el vehículo de pago preferido para estas operaciones puramente transaccionales.2

Los vectores de acceso inicial empleados por estos grupos eran efectivos pero relativamente estandarizados. Los correos de phishing, la explotación de servicios de escritorio remoto (RDP) mal configurados y expuestos a Internet, y el aprovechamiento de vulnerabilidades de software conocidas pero no parcheadas eran las puertas de entrada más comunes.1 Estas tácticas, aunque exitosas, no requerían necesariamente el nivel de sigilo o sofisticación de una operación de espionaje patrocinada por un estado. El modelo de negocio se basaba en el volumen y la eficiencia, no en la persistencia a largo plazo.

La evolución de las tácticas de extorsión también fue un sello distintivo de esta era. El grupo Maze fue pionero en el modelo de "doble extorsión" ya en 2020, atacando a corporaciones como Canon y Xerox no solo cifrando sus datos, sino también exfiltrándolos y amenazando con su publicación si no se pagaba el rescate.3 Esta táctica fue rápidamente adoptada por otros grupos y evolucionó hacia la "triple extorsión", que añadía ataques de denegación de servicio (DDoS) o el contacto directo con los clientes y socios de la víctima para aumentar la presión.2 A pesar de su creciente agresividad, el objetivo final seguía siendo el mismo: el pago. El coste promedio de un ataque de ransomware para una organización en 2020 se estimaba en 4.4 millones de dólares, una cifra que, aunque significativa, representaba un riesgo financiero calculable para muchas empresas.4

Paralelamente al auge del RaaS, una transformación silenciosa pero peligrosa estaba teniendo lugar en el corazón de las infraestructuras críticas del mundo: la convergencia de las redes de Tecnología de la Información (IT) y Tecnología Operacional (OT). Los Sistemas de Control Industrial (ICS), que gestionan procesos físicos en sectores como la energía, la producción y el tratamiento de aguas, estaban siendo cada vez más conectados a las redes corporativas e a Internet para mejorar la eficiencia, permitir el mantenimiento remoto y recopilar datos para su análisis.5 Esta modernización, si bien beneficiosa desde el punto de vista operativo, estaba abriendo una caja de Pandora de vulnerabilidades de seguridad.

Los informes de 2021 ya daban la voz de alarma. Un análisis de Claroty reveló un asombroso aumento del 41% en las vulnerabilidades de ICS divulgadas en la primera mitad de 2021 en comparación con los seis meses anteriores, una aceleración significativa sobre el ya preocupante aumento del 25% registrado en 2020.5 Lo más alarmante era la naturaleza de estas vulnerabilidades: el 71% se clasificaron como de gravedad alta o crítica, el 90% tenían una baja complejidad de ataque y, crucialmente, el 61% podían ser explotadas de forma remota.5 Esto significaba que un atacante podía, teóricamente, comprometer un proceso industrial físico desde el otro lado del mundo.

El desafío se veía agravado por la naturaleza inherente de los entornos OT/ICS. Muchos de estos sistemas operan con tecnologías "legacy" (heredadas), diseñadas y desplegadas hace décadas con la fiabilidad y la disponibilidad como únicas prioridades, mucho antes de que la ciberseguridad fuera una preocupación.8 Estos sistemas a menudo utilizan sistemas operativos obsoletos y protocolos de comunicación propietarios que carecen de mecanismos básicos de seguridad como el cifrado o la autenticación. La integración de nuevas tecnologías en esta infraestructura "brownfield" creaba un entorno complejo y frágil, donde las defensas de seguridad modernas eran difíciles de aplicar sin arriesgar la estabilidad operativa.8 Los datos de Kaspersky para la segunda mitad de 2021 indicaban que casi el 40% de todos los equipos de control industrial habían sido objeto de ataques de software malicioso al menos una vez.9

A pesar de esta creciente superficie de ataque y del claro aumento de las amenazas, el nivel de preparación en los sectores de infraestructuras críticas era alarmantemente bajo. Un informe de investigación de 2022, basado en datos recopilados en 2021, arrojó una estadística devastadora: mientras que el 83% de las organizaciones de infraestructuras críticas habían sufrido brechas de seguridad, un asombroso 63% de las organizaciones del sector de la fabricación admitieron no tener implementadas medidas de ciberseguridad adecuadas.10 Esta brecha entre el riesgo conocido y la acción defensiva creó una vulnerabilidad sistémica masiva. Las organizaciones estaban calculando su riesgo basándose en el paradigma del ransomware, un riesgo financiero, sin prepararse para un cambio de paradigma hacia ataques cuyo objetivo fuera la destrucción física y la parálisis operativa, un riesgo existencial para el que no estaban preparadas.

El ataque a la cadena de suministro de software contra SolarWinds a finales de 2020 fue un evento sísmico que debería haber servido como la advertencia definitiva sobre un nuevo y devastador vector de ataque. Este incidente demostró con una claridad brutal cómo comprometer a un único proveedor de software de confianza podía proporcionar a los atacantes un acceso sin precedentes a miles de sus clientes, incluyendo agencias gubernamentales de alto nivel y una gran parte de las empresas de la lista Fortune 500.11

La mecánica del ataque fue sofisticada y sigilosa. Los atacantes, atribuidos a actores patrocinados por el estado ruso, lograron inyectar una puerta trasera (conocida como SUNBURST) en el proceso de compilación del software de gestión de redes Orion de SolarWinds. Esta puerta trasera fue distribuida a unos 18,000 clientes a través del mecanismo de actualización de software legítimo y firmado digitalmente de la compañía.12 Este método convirtió una herramienta de confianza en un troyano, eludiendo las defensas perimetrales tradicionales que nunca esperarían que una amenaza viniera de una fuente verificada.

El incidente de SolarWinds no fue un caso aislado, sino el ejemplo más notorio de una tendencia emergente. Ataques similares contra Mimecast, donde se comprometió un certificado de seguridad utilizado para autenticar sus servicios en Microsoft 365, y contra ASUS, donde la función de actualización automática se utilizó para distribuir malware a hasta medio millón de sistemas, confirmaron que la cadena de suministro de software se había convertido en un campo de batalla estratégico.12

Las técnicas subyacentes ya eran conocidas por los expertos en seguridad. El robo de certificados de firma de código para hacer que el malware parezca legítimo, el compromiso de las herramientas e infraestructuras de desarrollo de software, y la inyección de código malicioso en dependencias de código abierto eran tácticas que ya estaban en el arsenal de los atacantes avanzados.12 El ataque de "confusión de dependencia" de 2021, en el que un investigador de seguridad logró introducir paquetes de datos en los sistemas de empresas como Microsoft, Apple y Tesla aprovechando la forma en que las aplicaciones gestionan las dependencias de código, demostró la fragilidad de estos ecosistemas interconectados.12

SolarWinds fue el presagio de lo que estaba por venir. Demostró que el perímetro de una organización ya no estaba definido por sus propios firewalls, sino por la seguridad del menos seguro de sus proveedores. Esta comprensión sentó las bases para un nuevo tipo de ataque a gran escala, donde un solo compromiso podía tener un efecto dominó masivo, una lección que se volvería críticamente relevante en el nuevo entorno geopolítico que estaba a punto de emerger.

La combinación de un ciberdelito industrializado centrado en la extorsión, una infraestructura crítica cada vez más conectada pero peligrosamente desprotegida, y la demostración práctica de ataques a la cadena de suministro a gran escala, creó una "tormenta perfecta" de vulnerabilidades. El ecosistema digital de 2021 estaba en un estado de complacencia precaria. Las organizaciones habían aprendido a convivir con la amenaza del ransomware como un coste del negocio, pero no estaban preparadas para un adversario cuya motivación no fuera el dinero, sino la parálisis y la destrucción. El sistema estaba preparado para ser explotado, pero no para ser desmantelado.

La siguiente tabla resume el cambio paradigmático en el panorama de amenazas, contrastando las características dominantes de la era anterior a 2022 con el nuevo entorno que surgió tras la invasión de Ucrania. Esta comparación visualiza la transición fundamental desde un modelo centrado en el beneficio económico a uno impulsado por objetivos geopolíticos y militares.

La invasión a gran escala de Ucrania por parte de Rusia el 24 de febrero de 2022 no fue únicamente un evento militar convencional; marcó un punto de inflexión irreversible en la historia de la ciberguerra. Este conflicto transformó el ciberespacio de un dominio predominantemente utilizado para el espionaje, el crimen y la disrupción de bajo nivel, a un teatro de operaciones militares plenamente integrado. Las vulnerabilidades teóricas y los ataques esporádicos del pasado dieron paso a un uso sistemático, abierto y destructivo de las capacidades cibernéticas como un instrumento de guerra. Este capítulo analiza cómo el conflicto actuó como un catalizador, cambiando fundamentalmente las motivaciones, los actores y las tácticas, y estableciendo nuevos y peligrosos precedentes para el futuro de los conflictos globales.

El concepto de "guerra híbrida", la combinación de medios militares convencionales con tácticas irregulares, desinformación y presiones económicas, encontró su máxima expresión en el dominio digital desde las primeras horas del conflicto. Los ciberataques no fueron un espectáculo secundario, sino una parte integral y coordinada de la estrategia militar rusa.

El ejemplo más claro y emblemático de esta integración fue el ataque contra la red de satélites KA-SAT de Viasat. El 24 de febrero de 2022, apenas unas horas antes de que las fuerzas terrestres cruzaran la frontera, un ciberataque deliberado y multifacético fue lanzado contra la infraestructura de Viasat.22 El objetivo era una partición de la red orientada al consumidor, pero su impacto fue profundamente estratégico: interrumpió los servicios de comunicación por satélite para miles de usuarios en Ucrania, incluyendo, presumiblemente, elementos del ejército y del gobierno que dependían de estos servicios para el mando y control en las horas más críticas de la invasión.22 Decenas de miles de otros clientes en toda Europa también se vieron afectados, demostrando el potencial de efectos colaterales transfronterizos.23 Este no fue un ataque de ransomware ni una operación de espionaje; fue un acto de sabotaje militar digital. La atribución oficial del ataque a Rusia por parte de la Unión Europea, Estados Unidos y el Reino Unido confirmó su naturaleza como un acto de agresión estatal.24 La investigación técnica posterior reveló el uso de un malware de borrado (wiper) específico llamado "AcidRain", diseñado para sobrescribir datos clave en la memoria de los módems y dejarlos inoperables, un método puramente destructivo.26

El ataque a Viasat fue la punta de lanza de una oleada de ciberataques destructivos. Simultáneamente, múltiples familias de malware de borrado de datos fueron desplegadas contra cientos de sistemas en organizaciones gubernamentales y empresas ucranianas.16 Herramientas como HermeticWiper, IsaacWiper y CaddyWiper aparecieron en rápida sucesión.27 A diferencia del ransomware, estos programas maliciosos no tenían un componente de extorsión; su único propósito era la destrucción irrecuperable de datos y la paralización de los sistemas.19 HermeticWiper, por ejemplo, fue diseñado para corromper el Master Boot Record (MBR) y las tablas de partición de los discos duros, haciendo que los sistemas fueran incapaces de arrancar.19

La sofisticación táctica de estos ataques era evidente. CaddyWiper, por ejemplo, contenía una lógica específica para evitar ejecutarse en Controladores de Dominio.28 Esta no era una característica accidental; sugería que los atacantes, que ya habían comprometido la red (probablemente a través de Active Directory), querían mantener su acceso y control sobre la infraestructura de la víctima mientras destruían selectivamente otros sistemas operativos. El informe de Microsoft sobre la guerra híbrida confirmó de manera concluyente que estos ciberataques destructivos estaban "fuertemente correlacionados y, a veces, directamente sincronizados" con las operaciones militares cinéticas.21 Por ejemplo, un ciberataque contra una importante empresa de radiodifusión ucraniana coincidió con el anuncio del ejército ruso de su intención de atacar una torre de televisión en Kiev.21 Esto demostró una coordinación sin precedentes entre las unidades de guerra cibernética y las fuerzas militares convencionales.

La guerra en Ucrania desencadenó un fenómeno sin precedentes: la movilización masiva de actores no estatales en el ciberespacio, no por dinero, sino por ideología. El conflicto se convirtió en un catalizador para el surgimiento de grandes colectivos de "hacktivistas" que tomaron partido y lanzaron sus propias campañas, difuminando las líneas entre la ciberguerra patrocinada por el estado y la acción civil.

En el bando pro-ruso, el grupo más prominente fue Killnet. Originalmente un servicio de botnet disponible para alquiler con fines de lucro, el grupo se reorientó drásticamente tras la invasión para convertirse en un colectivo hacktivista patriótico.13 Su modus operandi principal ha sido la ejecución de ataques de denegación de servicio distribuido (DDoS) contra países de la OTAN y otras naciones que han proporcionado apoyo a Ucrania.30 Sus listas de objetivos han sido extensas y han incluido infraestructuras críticas como aeropuertos en Alemania y Polonia, sitios web gubernamentales en Italia, Rumanía y Lituania, y sistemas financieros en varios países europeos.30 Aunque la sofisticación técnica de sus ataques ha sido a veces cuestionada, su capacidad para generar interrupciones de alto perfil y atraer la atención de los medios de comunicación los ha convertido en una herramienta eficaz de guerra psicológica y de desgaste, sembrando el caos y demostrando que el apoyo a Ucrania tendría consecuencias en el dominio digital.32

En una respuesta simétrica y aún más extraordinaria, el gobierno ucraniano tomó la medida sin precedentes de institucionalizar este tipo de ciberguerra civil. El 26 de febrero de 2022, el Ministro de Transformación Digital de Ucrania, Mykhailo Fedorov, hizo un llamamiento público a través de las redes sociales, invitando a "talentos digitales" de todo el mundo a unirse al "IT Army of Ukraine".14 Coordinado principalmente a través de un canal de Telegram, este ejército descentralizado creció rápidamente hasta contar con cientos de miles de voluntarios internacionales.14 La organización proporciona listas de objetivos rusos y bielorrusos y herramientas para que los voluntarios lleven a cabo ataques, principalmente DDoS.34

Los objetivos del IT Army han sido estratégicos y de alto impacto. Han atacado con éxito la Bolsa de Moscú, Sberbank (el mayor banco de Rusia), redes eléctricas, sistemas ferroviarios y sitios web gubernamentales.14 Esta estrategia de "ciberguerra de masas" (crowdsourced) representa una nueva dimensión del conflicto armado. Por primera vez, un estado en guerra ha reclutado y organizado abiertamente a una milicia cibernética global de voluntarios civiles.33 Este acto ha borrado las ya tenues líneas entre combatientes y no combatientes en el ciberespacio, planteando profundas cuestiones legales y éticas sobre el estatus de estos actores según el derecho internacional humanitario.15

Más allá de los titulares generados por los wipers y los hacktivistas, los actores de amenazas persistentes avanzadas (APTs) patrocinados por estados, que durante mucho tiempo han operado en la sombra, intensificaron drásticamente sus operaciones en apoyo de los objetivos militares de sus respectivos gobiernos.

El grupo Sandworm, atribuido a la unidad 74455 del GRU ruso y conocido por sus devastadores ataques anteriores como los apagones en Ucrania en 2015 y 2016 y la propagación del malware NotPetya en 2017, demostró que sus capacidades para atacar entornos OT seguían siendo potentes y estaban evolucionando. En octubre de 2022, en una operación que coincidió con una campaña de ataques con misiles rusos contra infraestructuras energéticas ucranianas, Sandworm ejecutó un nuevo ataque contra una subestación eléctrica.37 La operación fue notable por su técnica novedosa, que implicaba el uso de una imagen de disco ISO para ejecutar comandos maliciosos directamente en el software SCADA de la víctima. Después de la fase de ataque OT, el grupo desplegó el wiper CaddyWiper en los sistemas IT de la organización para destruir pruebas forenses y maximizar el caos.37 Esta operación demostró no solo una capacidad continua para cruzar la barrera IT/OT, sino también una estrecha coordinación con las operaciones militares cinéticas.

Otro grupo del GRU, APT28 (también conocido como Fancy Bear), también desempeñó un papel clave. Conocido por sus operaciones de influencia y espionaje, APT28 lanzó campañas a gran escala de phishing y "password spraying" (intentos de inicio de sesión con contraseñas comunes contra muchas cuentas) dirigidas a organizaciones gubernamentales, militares y de infraestructuras críticas en Ucrania y países de la OTAN.39 El objetivo de estas campañas era la recolección de credenciales y el espionaje, proporcionando inteligencia valiosa para apoyar los objetivos estratégicos y tácticos del esfuerzo bélico ruso. La actividad persistente de grupos como APT28 y Sandworm subraya que, detrás de los ataques más visibles y disruptivos, se mantiene una campaña de inteligencia constante y sofisticada.

La guerra en Ucrania no se limitó a aumentar el volumen de ciberataques; redefinió fundamentalmente su propósito y las reglas de enfrentamiento en el dominio digital. Se cruzaron umbrales que antes se consideraban "líneas rojas" o, al menos, se evitaban por temor a una escalada incontrolable. El ataque a Viasat representó el primer uso a gran escala de un ciberataque contra una infraestructura espacial civil como un acto de apertura en una guerra convencional, formalizando el ciberespacio como un teatro de operaciones militares. El despliegue masivo y abierto de malware de borrado de datos normalizó el uso de armas cibernéticas puramente destructivas, no con fines quirúrgicos y negables como en el pasado (por ejemplo, Stuxnet), sino como una herramienta de terror y parálisis social. Finalmente, la creación oficial del IT Army of Ukraine por parte de un gobierno soberano legitimó la participación de civiles en ciberataques ofensivos, creando un precedente que podría ser replicado en futuros conflictos con consecuencias impredecibles. Este conflicto ha establecido un nuevo y peligroso statu quo, en el que los ataques disruptivos y destructivos contra infraestructuras críticas ya no son una posibilidad teórica, sino una táctica de guerra demostrada, aceptada y esperada.

Mientras la geopolítica redefinía las motivaciones y los objetivos de los ciberataques, una revolución tecnológica paralela comenzó a remodelar las capacidades de los atacantes: el auge de la Inteligencia Artificial (IA) generativa. La disponibilidad pública de potentes Modelos de Lenguaje Grandes (LLMs), como los que impulsan herramientas como ChatGPT y Claude, ha actuado como un acelerador y un nivelador, poniendo herramientas de ciberataque sofisticadas al alcance de un espectro más amplio de actores y multiplicando la eficacia de los adversarios más avanzados. La IA no es simplemente una nueva herramienta en el arsenal de los atacantes; es un catalizador que está transformando la metodología, la escala y la sofisticación de las ciberamenazas a una velocidad sin precedentes.

Históricamente, la ejecución de ciberataques complejos requería un alto grado de conocimientos técnicos y experiencia. El desarrollo de malware, la explotación de vulnerabilidades y la navegación sigilosa por redes comprometidas eran dominios reservados para programadores cualificados y operadores experimentados. La IA generativa está desmantelando rápidamente esta barrera de entrada.

Los LLMs, entrenados con vastos corpus de texto y código de Internet, pueden funcionar como asistentes de codificación y entrenadores para ciberdelincuentes con habilidades técnicas limitadas.40 Un actor malicioso ahora puede solicitar a un LLM que genere un script de ransomware en Python, que escriba un código para explotar una vulnerabilidad conocida o que explique paso a paso cómo realizar un movimiento lateral dentro de una red.42 Aunque muchos modelos de IA tienen salvaguardas para prevenir el uso malicioso directo, los atacantes han demostrado ser expertos en eludir estas restricciones mediante técnicas de "jailbreaking" o ingeniería de prompts. Un informe de Anthropic de agosto de 2025 documentó un caso en el que un ciberdelincuente con habilidades de codificación básicas utilizó su modelo de IA, Claude, para desarrollar y vender ransomware.42

Más allá de la simple generación de código, la IA está siendo integrada en todas las fases del ciclo de vida de un ataque. Un informe de CrowdStrike destaca cómo los adversarios utilizan la IA para automatizar tareas de reconocimiento, analizar datos robados para identificar la información más valiosa y optimizar sus herramientas.44 El caso de la operación de extorsión de datos analizada por Anthropic es particularmente revelador: un único actor utilizó Claude Code no solo para desarrollar malware, sino también como un consultor operativo en tiempo real durante las intrusiones, recibiendo orientación sobre cómo escalar privilegios y moverse a través de las redes de las víctimas.42 Esto permite que un solo individuo logre el impacto que antes requería un equipo de operadores, un verdadero multiplicador de fuerza.

La escalabilidad y la eficiencia que la IA aporta a las operaciones maliciosas son asombrosas. El grupo norcoreano FAMOUS CHOLLIMA, conocido por sus sofisticados esquemas de fraude de trabajadores de TI remotos, ha logrado mantener un ritmo operativo excepcionalmente alto, con más de 320 intrusiones en un año.44 Según CrowdStrike, este ritmo es posible gracias a la integración de herramientas de IA generativa en cada etapa de su proceso: desde la redacción de currículums y cartas de presentación convincentes hasta la gestión de múltiples solicitudes de empleo y la ocultación de sus verdaderas identidades durante las entrevistas en vídeo.45

La ingeniería social, el arte de manipular a las personas para que divulguen información confidencial o realicen acciones inseguras, ha sido durante mucho tiempo la piedra angular de los ciberataques. La IA generativa está llevando esta táctica a un nivel de sofisticación y realismo nunca antes visto, erosionando la capacidad humana para discernir entre lo genuino y lo falso.

El phishing tradicional a menudo era identificable por errores gramaticales, saludos genéricos o una falta de contexto. El phishing potenciado por LLMs elimina estas pistas. Ahora, los atacantes pueden generar automáticamente miles de correos electrónicos de phishing que no solo son gramaticalmente perfectos, sino que también están hiper-personalizados y son contextualmente relevantes para cada destinatario.47 Un LLM puede analizar la presencia en línea de un objetivo (perfiles de LinkedIn, publicaciones en redes sociales) para crear un correo electrónico que haga referencia a un proyecto reciente, a un colega específico o a un interés personal, aumentando drásticamente su credibilidad. Grupos patrocinados por estados, como el iraní Charming Kitten, ya han sido observados utilizando IA para generar mensajes de phishing más efectivos en sus campañas contra organizaciones occidentales.45

Una escalada aún más alarmante es el auge del "vishing" (phishing por voz) mediante el uso de tecnología deepfake de clonación de voz. Con solo unos segundos de audio de una persona —obtenidos de vídeos de YouTube, publicaciones en redes sociales, webinars o incluso un mensaje de voz—, las herramientas de IA pueden generar una voz sintética casi indistinguible de la original.49 Los ciberdelincuentes están explotando esta capacidad para llevar a cabo estafas de alto impacto.

En un ejemplo notorio, el CEO de una empresa energética del Reino Unido fue engañado para que transfiriera 220,000 euros a una cuenta fraudulenta tras recibir una llamada de una voz clonada que creía que era la de su jefe en la empresa matriz alemana.50 En otro caso, un deepfake de vídeo del director financiero de una multinacional se utilizó en una videoconferencia para convencer al personal de que realizara transferencias no autorizadas, lo que resultó en una pérdida de 26 millones de dólares.50 Estos ataques explotan la confianza inherente que depositamos en la voz de personas conocidas, como ejecutivos, colegas o familiares, para eludir los protocolos de seguridad y manipular a las víctimas para que actúen con urgencia.49

La proliferación de la IA ofensiva ha desencadenado inevitablemente una carrera armamentista, obligando a los defensores a adoptar tecnologías de IA igualmente avanzadas para poder competir. La ciberdefensa moderna se está volviendo cada vez más dependiente de la IA y el Machine Learning (ML) para detectar y responder a amenazas que operan a una velocidad y escala que superan las capacidades humanas.

La principal ventaja de la IA defensiva es su capacidad para centrarse en el comportamiento anómalo en lugar de en las firmas conocidas.52 Los antivirus tradicionales se basan en la identificación de malware conocido. Sin embargo, la IA ofensiva puede generar malware polimórfico, que cambia su código con cada nueva infección para evadir esta detección basada en firmas.47 En cambio, los modelos de ML pueden establecer una línea base del comportamiento normal de una red, un servidor o un usuario y luego detectar desviaciones sutiles que podrían indicar un ataque en curso, incluso si se trata de una amenaza nunca antes vista (un ataque de día cero).52 Soluciones de seguridad de identidad como Entra ID de Microsoft utilizan ML para analizar en tiempo real más de 7,000 intentos de ataque de contraseña por segundo, bloqueando amenazas basándose en patrones de comportamiento anómalos sin que el usuario legítimo se dé cuenta.52

Más allá de la detección, la IA está automatizando y acelerando la investigación y la respuesta a incidentes. En un ciberataque, los analistas de seguridad humanos pueden pasar horas o días recopilando datos de diferentes sistemas (registros de red, alertas de endpoints, etc.) para reconstruir la cadena de ataque. Plataformas como Cyber AI Analyst de Darktrace utilizan una combinación de técnicas de IA para automatizar este proceso. La IA puede imitar el proceso de razonamiento de un analista humano, formulando hipótesis, correlacionando miles de alertas dispares y presentando una narrativa coherente y priorizada del incidente en cuestión de minutos.54 Otras herramientas, como Darktrace HEAL, van un paso más allá, utilizando la IA para simular ataques realistas dentro del entorno de una organización y generar planes de respuesta a incidentes dinámicos y personalizados en tiempo real cuando ocurre un ataque real.56

El impacto más profundo y quizás más insidioso de la IA en la ciberseguridad no es puramente técnico, sino psicológico y social. Está erosionando el pilar fundamental sobre el que se construye toda la seguridad digital: la confianza. Los modelos de seguridad, tanto tecnológicos como humanos, se han basado históricamente en una serie de suposiciones de confianza: confiamos en que un correo electrónico que parece provenir de nuestro director financiero es genuino; confiamos en que la voz de nuestro CEO al otro lado del teléfono es real; confiamos en que una actualización de software de un proveedor de confianza es segura.

La IA generativa está atacando sistemáticamente cada uno de estos pilares. El phishing por LLM hace que ya no podamos confiar ciegamente en la autenticidad del texto.48 El vishing con deepfake de voz hace que ya no podamos confiar en la evidencia de nuestros propios oídos.49 La amenaza inminente de los deepfakes de vídeo erosionará la confianza en lo que vemos. Esta erosión de la confianza introduce una "fricción" cognitiva en todas las operaciones empresariales. Cada solicitud urgente, cada comunicación inesperada, debe ser ahora tratada con un nivel de escepticismo que antes era innecesario, lo que ralentiza la toma de decisiones y crea una carga mental para los empleados.

Esta realidad obliga a las organizaciones a adoptar un cambio cultural masivo hacia un paradigma de "Confianza Cero" (Zero Trust), no solo a nivel de arquitectura de red, sino a nivel de interacción humana. El principio de "nunca confiar, siempre verificar" debe extenderse desde la autenticación de sistemas hasta la validación de las comunicaciones humanas. La IA no solo está creando nuevos y más sofisticados ataques; está haciendo que nuestras defensas humanas más innatas, basadas en la confianza y el reconocimiento de patrones, sean cada vez más obsoletas.

La siguiente tabla detalla los vectores de ataque más significativos que han sido amplificados por la IA, su impacto potencial en las infraestructuras críticas y las estrategias de mitigación correspondientes que las organizaciones deben considerar para fortalecer sus defensas.

La convergencia de la motivación geopolítica y la aceleración tecnológica por IA ha creado un entorno de amenaza sin precedentes para los sectores que sustentan las sociedades modernas. Las infraestructuras críticas ya no son objetivos de oportunidad para el ciberdelito; se han convertido en objetivos estratégicos de primer orden en la ciberguerra. Esta sección analiza cómo estas fuerzas combinadas se manifiestan en amenazas específicas y de alto impacto para los sectores de Energía, Producción, Transporte, Logística y Cadenas de Suministro, demostrando que los ataques ya no son aislados, sino que a menudo buscan explotar las interconexiones para causar un efecto en cascada sistémico.

Los sectores de energía y producción, que dependen de sistemas de control industrial (ICS) y tecnología operacional (OT) para gestionar procesos físicos, se encuentran en el epicentro de la nueva ciberguerra. La capacidad de interrumpir el suministro eléctrico de una nación o sabotear su capacidad industrial es un objetivo estratégico de primer nivel para cualquier adversario estatal.

El ataque del grupo Sandworm en octubre de 2022 contra una subestación eléctrica ucraniana es el ejemplo paradigmático de la amenaza moderna a este sector.37 Este incidente no fue una simple intrusión en la red de TI. Fue una operación multifásica y altamente sofisticada que demostró un profundo conocimiento del entorno OT. Los atacantes primero comprometieron la red de TI, se movieron lateralmente para obtener acceso al entorno OT y luego desplegaron una técnica novedosa: utilizaron una imagen de disco ISO para ejecutar código malicioso directamente dentro del software legítimo de supervisión y control (MicroSCADA) de la víctima. Este código, escrito en el lenguaje de programación específico de OT, SCIL (Structured Control Language), fue diseñado para enviar comandos no autorizados a los equipos físicos, probablemente para abrir los interruptores y causar un apagón.37 Para completar la operación y obstaculizar la respuesta, Sandworm desplegó el wiper CaddyWiper en los sistemas de TI para borrar todas las huellas de su actividad.38

Este ataque ilustra la convergencia de amenazas: una motivación geopolítica clara (coincidiendo con ataques de misiles), una táctica de guerra híbrida (combinando ciberataques con acciones cinéticas) y una sofisticación técnica que permite cruzar la barrera IT/OT para causar un impacto físico.

La Inteligencia Artificial actúa como un potente acelerador para este tipo de operaciones. La IA puede ser utilizada para analizar rápidamente vastas cantidades de documentación técnica de sistemas SCADA y PLC (Controladores Lógicos Programables) disponible públicamente, identificando vulnerabilidades o características que pueden ser abusadas. Puede ayudar a los atacantes a generar código malicioso en lenguajes de programación específicos de OT, que requieren conocimientos especializados, o a desarrollar exploits para vulnerabilidades de día cero a una velocidad sobrehumana. En un entorno donde cada segundo cuenta, la capacidad de la IA para automatizar el reconocimiento y el desarrollo de herramientas de ataque contra sistemas OT complejos representa una amenaza existencial para la estabilidad de la red eléctrica y la base industrial de una nación.

El sector del transporte y la logística es la columna vertebral del comercio y la vida moderna. Su interrupción, incluso temporal, puede tener consecuencias económicas y sociales en cascada. Por esta razón, se ha convertido en un objetivo principal tanto para actores criminales que buscan un rescate como para actores estatales que buscan sembrar el caos.

El ciberataque de ransomware del grupo LockBit contra el Puerto de Lisboa en diciembre de 2022 es un ejemplo de cómo un actor de ciberdelincuencia puede lograr un impacto estratégico.62 El ataque paralizó el sitio web y los sistemas informáticos internos del puerto, y los atacantes exigieron un rescate de 1.5 millones de dólares a cambio de no publicar los datos robados, que incluían informes financieros, contratos e información de carga.64 Aunque la administración del puerto afirmó que las operaciones físicas no se vieron comprometidas, el incidente demostró la vulnerabilidad de un nodo logístico vital a la disrupción digital, afectando la confianza y la eficiencia administrativa.63

En contraste, el ataque a la red ferroviaria polaca en agosto de 2023 fue un claro ejemplo de un ataque con motivación puramente geopolítica.67 En este caso, los atacantes no buscaron un beneficio económico. En su lugar, irrumpieron en las frecuencias de radio de la red ferroviaria para emitir repetidamente una señal de "parada" no autorizada, paralizando al menos 20 trenes en el noroeste del país. Para no dejar dudas sobre su intención, intercalaron las señales de parada con una grabación del himno nacional ruso y un discurso del presidente Putin.67 El objetivo era claro: interrumpir un corredor logístico crucial que Polonia utiliza para canalizar ayuda militar y humanitaria hacia Ucrania. Fue un acto de sabotaje digital diseñado para obstaculizar el esfuerzo bélico del adversario.

La IA puede potenciar significativamente este tipo de ataques. Los ataques DDoS, como los que el grupo Killnet ha lanzado repetidamente contra aeropuertos y autoridades de transporte europeas, pueden ser optimizados por la IA.31 Un sistema de IA podría analizar la arquitectura de red de un aeropuerto para identificar los servicios más críticos (por ejemplo, sistemas de gestión de equipajes, control de puertas de embarque) y dirigir el ataque DDoS hacia esos puntos vulnerables para maximizar la interrupción operativa. Además, la IA puede ser utilizada para amplificar el impacto psicológico de un ataque. Durante una interrupción del transporte, se podrían generar y difundir masivamente noticias falsas o deepfakes para crear pánico, difundir desinformación sobre la causa o la duración del incidente y erosionar la confianza del público en las autoridades.

La cadena de suministro digital, la intrincada red de software, hardware y servicios de terceros en la que confían todas las organizaciones modernas, se ha convertido en uno de los vectores de ataque más potentes y preocupantes. Atacar la cadena de suministro permite a un adversario comprometer a cientos o miles de víctimas a través de un único punto de entrada, explotando la confianza inherente en el ecosistema digital.

La evolución de estos ataques ha sido rápida y alarmante. Si el ataque a SolarWinds en 2020 fue la llamada de atención, incidentes más recientes han demostrado que la amenaza se está intensificando. El ataque a MOVEit Transfer en 2023, en el que el grupo de ransomware Cl0p explotó una vulnerabilidad de día cero en este popular software de transferencia de archivos, tuvo un impacto masivo, afectando a más de 2,600 organizaciones y exponiendo los datos personales de casi 100 millones de individuos.11 Este incidente demostró la rapidez con la que una sola vulnerabilidad en un software ampliamente utilizado puede ser explotada a escala global.

El descubrimiento en 2024 de una sofisticada puerta trasera en XZ Utils, una biblioteca de compresión de datos de código abierto utilizada en muchas distribuciones de Linux, representa una escalada aún más siniestra.71 Este no fue un ataque rápido de "smash-and-grab", sino un intento de sabotaje a largo plazo y sigiloso, llevado a cabo durante años a través de la ingeniería social para ganar la confianza del mantenedor del proyecto. Si no se hubiera descubierto, esta puerta trasera podría haber comprometido millones de servidores en todo el mundo, permitiendo a los atacantes eludir la autenticación SSH.71

Las estadísticas confirman esta tendencia alarmante. Según un informe, el porcentaje de organizaciones que fueron víctimas de ataques a la cadena de suministro se disparó del 29.5% en 2023 al 68.8% en 2024, un aumento dramático que subraya la creciente prevalencia de este vector.11

La IA está destinada a transformar este panorama. Los atacantes pueden utilizar la IA para escanear automáticamente millones de líneas de código en repositorios públicos como GitHub, buscando vulnerabilidades explotables a una velocidad que ningún equipo humano podría igualar. La IA también puede potenciar los ataques de "confusión de dependencias", donde se crean paquetes de software maliciosos con nombres similares a los de paquetes legítimos. Un LLM podría generar documentación, historiales de versiones y perfiles de desarrollador falsos pero convincentes para estos paquetes maliciosos, aumentando la probabilidad de que los desarrolladores los incorporen accidentalmente en sus proyectos y, por lo tanto, en la cadena de suministro de software de innumerables productos.

Los ataques a las infraestructuras críticas en la nueva era ya no pueden ser vistos como eventos aislados que afectan a un solo sector. Los adversarios, especialmente los patrocinados por estados, entienden perfectamente la profunda interconexión de estas infraestructuras y diseñan sus ataques para explotar estas dependencias y crear un efecto en cascada. Un ataque exitoso al sector del transporte, como el del Puerto de Lisboa, tiene un impacto directo en la cadena de suministro global. Un ataque a la red eléctrica, como el de Sandworm en Ucrania, paraliza no solo los hogares, sino también la producción industrial, los sistemas de transporte y las comunicaciones. Un ataque a la cadena de suministro de software, como el de XZ Utils, tiene el potencial de comprometer a todos los demás sectores que dependen de ese software.

El objetivo estratégico de los adversarios modernos no es simplemente comprometer el "Sector Energía", sino comprometer un nodo crítico dentro de ese sector para causar una falla sistémica que se propague a los sectores de Producción, Logística y Finanzas. La IA amplifica esta amenaza al permitir a los atacantes modelar estas complejas interdependencias, identificar los "puntos únicos de fallo" o los "nodos de alta centralidad" y diseñar ataques que causen el máximo daño sistémico con el mínimo esfuerzo. Por lo tanto, la defensa de la infraestructura crítica ya no puede ser una responsabilidad sectorial. Requiere un enfoque holístico y trans-sectorial que reconozca que la seguridad de una planta de tratamiento de agua depende de la seguridad de sus proveedores de software, que a su vez depende de la integridad de la red eléctrica que la alimenta. La nueva frontera de la ciberguerra es la explotación del riesgo sistémico.

El panorama de la ciberseguridad ha sido irrevocablemente alterado. La confluencia de una ruptura geopolítica, que ha redefinido las motivaciones de los atacantes, y una revolución tecnológica, que ha amplificado sus capacidades, ha dado lugar a un nuevo paradigma de amenazas. Este entorno es más volátil, destructivo y complejo que nunca, y exige una reevaluación fundamental de las estrategias de defensa, especialmente para las infraestructuras críticas que ahora se encuentran en el centro de esta nueva forma de conflicto.

El análisis presentado en este informe demuestra que el cambio en las tendencias de ciberataques no es una evolución lineal, sino una transformación paradigmática impulsada por dos fuerzas convergentes.

Primero, la invasión de Ucrania formalizó el ciberespacio como un campo de batalla. La intención de los actores estatales y sus afiliados ha pasado decisivamente de la monetización y el espionaje a la disrupción, el sabotaje y la destrucción como objetivos primarios. El "porqué" de los ataques ha cambiado: ya no se trata principalmente de extorsionar a una empresa, sino de paralizar la infraestructura de una nación, degradar su capacidad militar y desestabilizar su sociedad. Los ataques a Viasat, los wipers en Ucrania y la interrupción de los ferrocarriles polacos son manifestaciones claras de esta nueva doctrina militar.

Segundo, el auge de la Inteligencia Artificial generativa ha proporcionado el "cómo". La IA ha democratizado el acceso a herramientas de ataque sofisticadas, ha permitido una escala y una velocidad de operación sin precedentes y ha creado nuevas formas de ingeniería social que eluden las defensas humanas. Desde el phishing hiperrealista hasta la clonación de voz y el desarrollo de malware asistido por IA, esta tecnología actúa como un multiplicador de fuerza para todo el espectro de adversarios.

La combinación de esta intención geopolítica y la capacidad amplificada por IA ha creado un entorno de amenazas persistente, adaptativo y abrumador. La velocidad y la escala de los ataques modernos superan la capacidad de los equipos de seguridad que dependen de procesos manuales de detección y respuesta. En este nuevo paradigma, una defensa reactiva es una defensa fallida. La adopción de nuevas estrategias y tecnologías no es una opción, sino un imperativo para la supervivencia y la resiliencia nacional.

Para hacer frente a los desafíos de este nuevo paradigma, las organizaciones que operan infraestructuras críticas, así como los responsables políticos y los reguladores, deben adoptar un enfoque de seguridad más proactivo, inteligente y colaborativo. Las siguientes recomendaciones estratégicas son esenciales para construir la resiliencia necesaria en esta nueva era.